Institutos de pesquisa também estão na linha de fogo dessa estratégia cibercriminosa
Um rootkit é um conjunto de softwares criado de modo a permanecer oculto no computador de um usuário ao mesmo tempo em que fornece controle e acesso remotos a operadores externos. De modo geral, os cibercriminosos utilizam rootkits para controlar um computador sem o conhecimento ou consentimento do usuário.
A estratégia não é novidade, no meio da cibersegurança, mas uma pesquisa recente indicou que quase metade das campanhas de rootkit tem como foco comprometer sistemas governamentais.
O relatório sobre a evolução e aplicação de rootkits em ciberataques foi publicado em outubro de 2021 e observa que 77% dos rootkits são utilizados para ciberespionagem.
Por que os rootkits
Os rootkits são usados para obter privilégios em um sistema infectado, seja a nível de kernel (núcleo do sistema operacional) ou com base nos comportamentos do usuário. Alguns rootkits também podem combinar os dois recursos.
Depois que um rootkit é conectado a uma máquina, ele pode ser usado para sequestrar um PC, interceptar chamadas de sistema, substituir software e processos e também pode fazer parte de um kit de exploração mais amplo, contendo outros módulos, como keyloggers, malware de roubo de dados e mineradores de criptomoeda. Nesses casos, o rootkit é definido para disfarçar atividades maliciosas.
No entanto, os rootkits são difíceis de se desenvolver e podem demandar bastante tempo e dinheiro. Como resultado, a maioria dos ataques baseados em rootkit estão ligados a grupos de ameaças avançadas persistentes (APT), que têm os recursos e habilidades para desenvolver esse tipo de malware.
A amostra de análise dos pesquisadores foi composta por 16 tipos de malware; 38% sendo rootkits de modo kernel, 31% rootkits de modo de usuário e 31% rootkits de combinação. A maioria utilizada, hoje, é projetada para atacar sistemas Windows.
Como os rootkits estão sendo utilizados
De acordo com os pesquisadores, parece haver uma tendência geral para rootkits de modo de usuário na indústria de extração de dados, devido à dificuldade de criar variantes de modo de kernel; mas, apesar de a defesa contra rootkits em máquinas modernas ter evoluído, muitas vezes eles ainda são bem-sucedidos em ataques cibernéticos.
“Leva muito tempo para desenvolver ou modificar um rootkit e isso pode dificultar o trabalho dos cibercriminosos, que passam a lidar com restrições de tempo. Ele deve ser rápido ao explorar uma vulnerabilidade no perímetro de uma empresa, antes que ela seja notada e as atualizações de segurança sejam instaladas, ou outro grupo tire proveito disso”, afirma o relatório. “Por esse motivo, os cibercriminosos estão acostumados a agir rapidamente: pode levar menos de um dia do momento em que a exploração é identificada até as primeiras tentativas de aproveitá-la.
Além disso, a equipe diz que quaisquer erros na codificação de um rootkit em modo kernel podem levar à destruição de uma máquina e corrupção permanente, portanto, se uma demanda financeira estiver sendo feita – por exemplo, por operadores de ransomware – então o dano causado impediria o sucesso das tentativas de extorsão.
Os principais alvos dos cibercriminosos
Em 44% dos casos documentados desde 2011, os rootkits têm sido usados para atingir agências governamentais em todo o mundo, seguidas por instituições acadêmicas e de pesquisa em 38% das campanhas conhecidas.
Os pesquisadores sugerem que, quando os rootkits entram em cena, o custo e tempo de desenvolvimento envolvido exigem um alvo de alto valor: e, na maioria dos casos, o objetivo é o roubo de dados, ainda que com fins financeiros.
Outros alvos relevantes para operadores de rootkits são empresas de telecomunicações, setor de manufatura e bancos ou serviços financeiros.
Os rootkits também podem ser empregados em ataques direcionados contra indivíduos considerados “altos funcionários, diplomatas e funcionários de organizações-vítimas”, de acordo com os pesquisadores. Nesses casos, é implementada uma estratégia de engenharia social.
Os rootkits disponíveis comercialmente costumam custar entre US $45.000 e US $100.000, dependendo do sistema operacional de destino, dos termos de assinatura e dos recursos.
“Apesar das dificuldades de desenvolver tais programas, todos os anos vemos o surgimento de novas versões de rootkits com um mecanismo operacional diferente daquele de malware conhecido”, comentou Alexey Vishnyakov, Chefe de Detecção de Malware do Positive Technologies Expert Security Center (PT ESC). “Isso indica que os cibercriminosos ainda estão desenvolvendo ferramentas para disfarçar atividades maliciosas e inventando novas técnicas para contornar a segurança dos dispositivos. Uma nova versão do Windows aparece e os desenvolvedores de malware imediatamente criam rootkits para ela.”
Como manter sua empresa segura, diante das ameaças em constante evolução? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!